Nuova ondata di perfidi attacchi attraverso server Exchange presi in ostaggio

Nuova ondata di perfidi attacchi attraverso server Exchange presi in ostaggio

Recentemente, diversi server Exchange compromessi sono colpiti da un’ondata particolarmente insidiosa di attacchi via e-mail. Analogamente a quanto avvenuto con Emotet in passato, in questo periodo i destinatari ricevono risposte fasulle a conversazioni e-mail genuine. Queste finte risposte contengono link a malware. Tuttavia, queste e-mail vengono inviate attraverso i legittimi server di posta dei mittenti originali.

Ciò rende estremamente difficile filtrare tecnicamente o individuare personalmente questi messaggi. Secondo una nota inviata dal “Bundesamt für Sicherheit in der Informationstechnik” (BSI, l’ente federale tedesco per la sicurezza relativa alle tecnologie dell’informazione), i link indirizzano l’utente verso vari malware, tra cui Quakbot (estremamente pericoloso), DanaBot e SquirrelWaffle.

Al momento, non è noto come gli autori accedano al traffico di posta, né quale vulnerabilità di Microsoft Exchange venga specificamente sfruttata per lanciare questa nuova ondata di attacchi. Il BSI presume che i server colpiti siano stati rilevati diverso tempo fa senza che alcuno se ne accorgesse. Attualmente, i corrispondenti dati di accesso diventano merce di scambio nei mercati clandestini in Rete. Basandosi su un’estensione del principio di simulazione, le nuove e-mail false potrebbero essere più efficaci di quanto fosse già Emotet all’epoca (anche se per il momento il numero di messaggi inviati è ancora molto inferiore).

Alle aziende e organizzazioni che sospettano che il loro server Exchange sia stato compromesso, il BSI consiglia di reinstallare il server Exchange e di ripristinare i dati necessari. Per questi e altri casi, Retarus offre il servizio Email Continuity, che intenzionalmente non è basato su prodotti Microsoft. Il servizio fornisce caselle di posta elettronica sul Web preconfezionate e pronte all’uso. L’instradamento dei messaggi può quindi essere immediatamente reindirizzato a questo backup “attivo”, garantendo così che il personale possa continuare a comunicare senza interruzioni.

Email Continuity è strettamente collegato con Retarus Email Security, che protegge ovviamente anche le caselle di posta d’emergenza. In caso di necessità, nella soluzione failover è possibile sfruttare anche altri servizi di Retarus Secure Email Platform, tra cui la crittografia o l’archiviazione di messaggi e-mail.

Tags: //

Invia commento

Il tuo indirizzo email non sarà pubblicato.